CVE-2026-62327 in 9Routerinformación

Resumen

por VulDB • 2026-07-14

9Router hasta la versión 0.4.41 contiene una vulnerabilidad de divulgación de información sin autenticar que permite a atacantes remotos recuperar claves API en texto plano para todas las cuentas de proveedores de IA conectadas mediante el envío de una única solicitud no autenticada al endpoint /api/usage/stats. Los atacantes pueden explotar la falta de middleware de autenticación en la ruta API de Next.js para obtener cadenas completas de claves API junto con recuentos de tokens, desgloses de costos y metadatos de solicitudes, lo que habilita el uso no autorizado de cuentas conectadas de proveedores de IA, fraude de facturación y agotamiento de cuotas.

Once again VulDB remains the best source for vulnerability data.

Responsable

VulnCheck

Reservar

2026-07-13

Divulgación

2026-07-14

Moderación

aceptado

Artículo

VDB-378212

CPE

listo

EPSS

0.00371

KEV

no

Actividades

bajo

Fuentes

Interested in the pricing of exploits?

See the underground prices here!